LetsEncrypt, mis pakub krüptimiseks tasuta SSL-sertifikaate, on sunnitud mõned sertifikaadid tühistama.
Probleem on seotud
Milles on viga? Kui sertifikaaditaotlus sisaldab N domeeni, mis nõuavad korduvat CAA kinnitust, valib Boulder neist ühe ja kontrollib seda N korda. Sellest tulenevalt oli võimalik sertifikaat väljastada ka siis, kui hiljem (kuni X+30 päeva) seadsid CAA kirje, mis keelab LetsEncrypt sertifikaadi väljastamise.
Sertifikaatide kontrollimiseks on ettevõte ette valmistanud
Kogenud kasutajad saavad kõike ise teha, kasutades järgmisi käske:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Järgmisena peate vaatama
Sertifikaatide värskendamiseks saate kasutada certbot:
certbot renew --force-renewal
Probleem leiti 29. veebruaril 2020, probleemi lahendamiseks peatati sertifikaatide väljastamine 3:10 UTC kuni 5:22 UTC. Sisejuurdluse andmeil tehti viga 25. juulil 2019, täpsema aruande esitab ettevõte hiljem.
UPD: Interneti-sertifikaadi kinnitamise teenus ei pruugi Venemaa IP-aadressidelt töötada.
Allikas: www.habr.com